- 개인 데이터 및 48만 5천 달러 상당 비트코인 탈취
- 오픈소스 저장소에서 다단계 멀웨어(악성코드) 발견, 저장소에서 코드를 실행하면, 피해자의 장치는 악성코드에 감염되며 공격자에게 원격으로 제어 당해
카스퍼스키는 오늘, 카스퍼스키 글로벌 연구 및 분석팀(Global Research & Analysis Team, GReAT)이 오픈 소스 저장소(repositories) 수백 개에서 다단계 멀웨어를 발견했다고 밝혔다. 이는 게이머 및 암호화폐 투자자를 표적으로 삼는 공격으로 카스퍼스키는 이를 ‘GitVenom(깃베놈)’으로 명명했다.
이 감염된 프로젝트에는 인스타그램 계정을 자동화하는 도구, 비트코인(BTC) 지갑을 원격으로 관리할 수 있는 텔레그램(Telegram) 봇, 게임 발로란트(Valorant)의 크랙(crack) 도구 등이 포함되어 있었다. 그러나 이 프로젝트들은 모두 가짜(fake)였으며, 캠페인을 주도한 사이버 범죄자들은 개인 및 금융 데이터를 훔치고 클립보드(clipboard)에서 암호화폐 지갑 주소를 가로채는 방식으로 피해를 입혔다. 이 활동의 결과로, 공격자들은 비트코인 5개(조사 당시 약 48만 5천 달러 상당)를 탈취하는 데 성공했다. 카스퍼스키는 전 세계에서 감염된 리포지토리가 사용된 것을 감지했으며, 대부분의 사례가 브라질, 터키, 러시아에서 발생했다.
이 악성 저장소들은 개발자가 코드를 관리하고 공유하는 플랫폼인 GitHub에 수년간 존재해 왔다. 공격자들은 AI로 생성된 것으로 보이는 매력적인 프로젝트 설명을 활용해 GitHub 저장소를 신뢰할 수 있는 것처럼 보이게 만들었다. 만약 피해자가 이 저장소의 코드를 실행하면, 피해자의 장치는 악성코드에 감염되며 공격자가 원격으로 제어할 수 있는 상태가 된다.
이 프로젝트는 파이썬, 자바스크립트, C, C++, C# 등 다양한 프로그래밍 언어로 작성되었지만, 감염된 프로젝트에 저장된 악성 페이로드는 공격자가 제어하는 GitHub 리포지토리에서 다른 악성 구성 요소를 다운로드하여 실행하는 동일한 목표를 가지고 있었다. 이러한 구성 요소에는 비밀번호, 은행 계좌 정보, 저장된 자격 증명, 암호화폐 지갑 데이터 및 검색 기록을 수집하여 .7z 아카이브에 압축한 후 텔레그램을 통해 공격자에게 업로드하는 스틸러가 포함되어 있다.
다운로드된 다른 악성 구성 요소에는 안전하게 암호화된 연결을 통해 피해자의 컴퓨터를 원격으로 모니터링하고 제어하는 데 사용할 수 있는 원격 관리 도구와 클립보드 내용에서 암호화폐 지갑 주소를 검색하여 공격자가 제어하는 주소로 대체하는 클립보드 하이재커(Clipboard Hijacker)가 포함되어 있다. 특히, 공격자가 제어하는 비트코인 지갑에는 2024년 11월에 약 5 BTC(조사 당시 약 48만 5천 달러)의 금액이 들어왔다.
카스퍼스키의 이효은 한국지사장은 "GitVenom 캠페인은 사이버 범죄자들이 신뢰받는 코드 공유 플랫폼인 GitHub을 악용하여 정교한 다단계 악성코드를 배포하는 방식을 점점 더 정교하게 발전시키고 있음을 보여준다. 공격자들은 악성 저장소를 합법적인 개발 도구처럼 위장하여, 개발자, 게이머, 암호화폐 투자자들의 신뢰를 악용하고 있다. 이번 공격은 오픈 소스 생태계조차도 사이버 위협으로부터 안전하지 않다는 점을 다시 한번 상기시킨다”고 설명하고,
“이러한 위험을 완화하려면 개발자는 서드파티(Third-party) 코드 실행이나 통합 전에 반드시 엄격한 검증을 거쳐야 하며, 조직 또한 강력한 보안 제어(Security Controls)를 도입하여 무단 코드 실행을 감지하고 차단해야 한다. 사이버 보안 인식을 강화하고, 위협 정보를 적극적으로 공유하는 것이 이러한 진화하는 위협에 대응하는 핵심이 될 것”이라고 밝혔다.
카스퍼스키의 GReAT 게오르기 쿠체린(Georgy Kucherin) 보안 연구원은 “GitHub과 같은 코드 공유 플랫폼은 전 세계 수백만 명의 개발자들이 사용하고 있기 때문에, 위협 행위자들은 앞으로도 계속해서 가짜 소프트웨어를 악용하여 감염을 유도할 것이다. 따라서 서드파티 코드 처리 시 각별한 주의가 필요하다. 이러한 코드를 실행하거나 기존 프로젝트에 통합하기 전에 반드시 해당 코드가 수행하는 작업을 철저히 분석해야 한다. 이를 통해 가짜 프로젝트를 쉽게 식별하고, 악성 코드가 개발 환경을 침해하는 것을 예방할 수 있다"고 덧붙였다.
#카스퍼스키#깃허브#악성코드#깃베놈#GitVenom#
